1. შესავალი

კომპანიებმა, რომლებსაც არ გააჩნდათ დისტანციური წვდომის სისტემები, სასწრაფოდ განათავსეს ისინი რამდენიმე თვის წინ. ყველა ადმინისტრატორი არ იყო მომზადებული ასეთი „სითბოსთვის“, რამაც გამოიწვია უსაფრთხოების ხარვეზები: სერვისების არასწორი კონფიგურაცია ან თუნდაც პროგრამული უზრუნველყოფის მოძველებული ვერსიების დაყენება ადრე აღმოჩენილი დაუცველობით. ზოგს ეს გამოტოვება უკვე ბუმერანგი მოჰყვა, ზოგს უფრო გაუმართლა, მაგრამ დასკვნები აუცილებლად ყველამ უნდა გამოიტანოს. დისტანციური მუშაობისადმი ლოიალობა ექსპონენტურად გაიზარდა და უფრო და უფრო მეტი კომპანია იღებს დისტანციურ მუშაობას, როგორც მისაღებ ფორმატს მუდმივ საფუძველზე.

ასე რომ, დისტანციური წვდომის უზრუნველყოფის მრავალი ვარიანტი არსებობს: სხვადასხვა VPN, RDS და VNC, TeamViewer და სხვა. ადმინისტრატორებს უამრავი არჩევანი აქვთ, კორპორატიული ქსელისა და მასში არსებული მოწყობილობების აგების სპეციფიკიდან გამომდინარე. VPN გადაწყვეტილებები რჩება ყველაზე პოპულარული, თუმცა, ბევრი მცირე კომპანია ირჩევს RDS-ს (დისტანციური დესკტოპის სერვისები), მათი განლაგება უფრო მარტივი და სწრაფია.

ამ სტატიაში უფრო მეტს ვისაუბრებთ RDS უსაფრთხოების შესახებ. მოდით გავაკეთოთ მოკლე მიმოხილვა ცნობილი დაუცველობის შესახებ და ასევე განვიხილოთ რამდენიმე სცენარი ქსელის ინფრასტრუქტურაზე თავდასხმის განსახორციელებლად Active Directory-ზე დაფუძნებული. ვიმედოვნებთ, რომ ჩვენი სტატია დაეხმარება ვინმეს იმუშაოს შეცდომებზე და გააუმჯობესოს უსაფრთხოება.

2. ბოლოდროინდელი RDS/RDP დაუცველობა

ნებისმიერი პროგრამული უზრუნველყოფა შეიცავს შეცდომებს და დაუცველობას, რომლებიც შეიძლება გამოიყენონ თავდამსხმელებმა და RDS არ არის გამონაკლისი. Microsoft ბოლო დროს ხშირად აფიქსირებს ახალ დაუცველობას, ამიტომ გადავწყვიტეთ, რომ მათ მოკლე მიმოხილვა მიგვეღო:

• CVE-2019-0787

ეს დაუცველობა რისკის ქვეშ აყენებს მომხმარებლებს, რომლებიც უკავშირდებიან კომპრომეტირებულ სერვერს. თავდამსხმელს შეუძლია მოიპოვოს კონტროლი მომხმარებლის მოწყობილობაზე ან მოიპოვოს ფეხი სისტემაში, რათა ჰქონდეს მუდმივი დისტანციური წვდომა.

• CVE-2019-1181 / CVE-2019-1182 / CVE-2020-0609

დაუცველობათა ეს ჯგუფი საშუალებას აძლევს არაავთენტიფიცირებულ თავდამსხმელს, დისტანციურად შეასრულოს თვითნებური კოდი სერვერზე, რომელიც მუშაობს RDS-ზე, სპეციალურად შემუშავებული მოთხოვნის გამოყენებით. ისინი ასევე შეიძლება გამოყენებულ იქნას ჭიების შესაქმნელად - მავნე პროგრამა, რომელიც დამოუკიდებლად აინფიცირებს მეზობელ მოწყობილობებს ქსელში. ამრიგად, ამ დაუცველობამ შეიძლება საფრთხე შეუქმნას მთელი კომპანიის ქსელს და მხოლოდ დროულმა განახლებმა შეიძლება მათი გადარჩენა.

დისტანციური წვდომის პროგრამულმა უზრუნველყოფასმა მიიპყრო დიდი ყურადღება როგორც მკვლევარების, ისე თავდამსხმელების მხრიდან, ამიტომ შესაძლოა მალე გავიგოთ მეტი მსგავსი დაუცველობის შესახებ.

კარგი ამბავი ის არის, რომ ყველა დაუცველობას არ აქვს საჯარო ექსპლოიტეტები. ცუდი ამბავი ის არის, რომ გამოცდილების მქონე თავდამსხმელს არ გაუჭირდება აღწერის საფუძველზე დაუცველობისთვის ექსპლოიტის დაწერა ან ისეთი ტექნიკის გამოყენება, როგორიცაა Patch Diffing (ჩვენმა კოლეგებმა ამის შესახებ დაწერეს მუხლი). ამიტომ, ჩვენ გირჩევთ რეგულარულად განაახლოთ პროგრამული უზრუნველყოფა და აკონტროლოთ ახალი შეტყობინებების გამოჩენა აღმოჩენილი დაუცველობის შესახებ.

3. თავდასხმები

გადავდივართ სტატიის მეორე ნაწილზე, სადაც გაჩვენებთ, როგორ იწყება Active Directory-ზე დაფუძნებული ქსელის ინფრასტრუქტურაზე შეტევები.

აღწერილი მეთოდები გამოიყენება თავდამსხმელის შემდეგი მოდელისთვის: თავდამსხმელი, რომელსაც აქვს მომხმარებლის ანგარიში და აქვს წვდომა Remote Desktop Gateway-ზე - ტერმინალის სერვერზე (ხშირად ის ხელმისაწვდომია, მაგალითად, გარე ქსელიდან). ამ მეთოდების გამოყენებით, თავდამსხმელს შეეძლება განაგრძოს შეტევა ინფრასტრუქტურაზე და გააძლიეროს თავისი ყოფნა ქსელში.

ქსელის კონფიგურაცია თითოეულ კონკრეტულ შემთხვევაში შეიძლება განსხვავდებოდეს, მაგრამ აღწერილი ტექნიკა საკმაოდ უნივერსალურია.

შეზღუდული გარემოდან გასვლისა და პრივილეგიების გაზრდის მაგალითები

Remote Desktop Gateway-ზე წვდომისას, თავდამსხმელი სავარაუდოდ შეხვდება რაიმე სახის შეზღუდულ გარემოს. ტერმინალის სერვერთან დაკავშირებისას მასზე იხსნება აპლიკაცია: დისტანციური დესკტოპის პროტოკოლის მეშვეობით დასაკავშირებლად შიდა რესურსების, Explorer-ის, საოფისე პაკეტების ან ნებისმიერი სხვა პროგრამული უზრუნველყოფის ფანჯარა.

თავდამსხმელის მიზანი იქნება ბრძანებების შესრულებაზე წვდომა, ანუ cmd ან powershell-ის გაშვება. რამდენიმე კლასიკური Windows sandbox-ის გაქცევის ტექნიკა დაგეხმარებათ ამაში. განვიხილოთ ისინი შემდგომში.

ვარიანტი 1. თავდამსხმელს აქვს წვდომა Remote Desktop კავშირის ფანჯარაზე Remote Desktop Gateway-ში:

იხსნება მენიუ "პარამეტრების ჩვენება". ჩნდება ოფციები კავშირის კონფიგურაციის ფაილების მანიპულირებისთვის:

ამ ფანჯრიდან შეგიძლიათ მარტივად შეხვიდეთ Explorer-ზე რომელიმე ღილაკზე „გახსნა“ ან „შენახვა“ დაწკაპუნებით:

Explorer იხსნება. მისი „მისამართების ზოლი“ შესაძლებელს ხდის ნებადართული შესრულებადი ფაილების გაშვებას, ასევე ფაილური სისტემის ჩამონათვალს. ეს შეიძლება იყოს სასარგებლო თავდამსხმელისთვის იმ შემთხვევებში, როდესაც სისტემური დისკები დამალულია და მათ პირდაპირ წვდომა არ შეიძლება:

→ დემო ვიდეო

მსგავსი სცენარის რეპროდუცირება შესაძლებელია, მაგალითად, Excel-ის გამოყენებისას Microsoft Office კომპლექტიდან, როგორც დისტანციური პროგრამული უზრუნველყოფა.

→ დემო ვიდეო

გარდა ამისა, არ დაივიწყოთ მაკროები, რომლებიც გამოიყენება ამ საოფისე კომპლექტს. ჩვენმა კოლეგებმა შეხედეს ამაში მაკროუსაფრთხოების პრობლემას მუხლი.

ვარიანტი 2. იგივე შეყვანის გამოყენებით, როგორც წინა ვერსიაში, თავდამსხმელი იწყებს რამდენიმე კავშირს დისტანციურ სამუშაო მაგიდასთან იმავე ანგარიშის ქვეშ. ხელახლა დაკავშირებისას პირველი დაიხურება და ეკრანზე გამოჩნდება შეცდომის შეტყობინებების ფანჯარა. ამ ფანჯარაში დახმარების ღილაკი გამოიძახებს Internet Explorer-ს სერვერზე, რის შემდეგაც თავდამსხმელს შეუძლია გადავიდეს Explorer-ზე.

→ დემო ვიდეო

ვარიანტი 3. თუ კონფიგურირებულია შესრულებადი ფაილების გაშვების შეზღუდვები, თავდამსხმელს შეიძლება შეექმნას სიტუაცია, როდესაც ჯგუფის პოლიტიკა აკრძალავს ადმინისტრატორს cmd.exe-ის გაშვებას.

ამის თავიდან აცილების გზა არსებობს დისტანციურ სამუშაო მაგიდაზე bat ფაილის გაშვებით ისეთი შინაარსით, როგორიცაა cmd.exe /K <command>. შეცდომა cmd-ის დაწყებისას და bat ფაილის შესრულების წარმატებული მაგალითი ნაჩვენებია ქვემოთ მოცემულ ფიგურაში.

ვარიანტი 4. აპლიკაციების გაშვების აკრძალვა შესრულებადი ფაილების სახელზე დაფუძნებული შავი სიების გამოყენებით არ არის პანაცეა; მათი გვერდის ავლა შესაძლებელია.

განვიხილოთ შემდეგი სცენარი: ჩვენ გავაუქმეთ წვდომა ბრძანების ხაზთან, აღვკვეთეთ Internet Explorer-ისა და PowerShell-ის გაშვება ჯგუფის პოლიტიკის გამოყენებით. თავდამსხმელი ცდილობს დახმარების გამოძახებას - პასუხი არ არის. Powershell-ის გაშვების მცდელობა მოდალური ფანჯრის კონტექსტური მენიუს მეშვეობით, რომელსაც ეწოდება Shift ღილაკის დაჭერით - შეტყობინება, რომელიც მიუთითებს, რომ გაშვება აკრძალულია ადმინისტრატორის მიერ. ცდილობს powershell-ის გაშვებას მისამართების ზოლის მეშვეობით - ისევ უპასუხოდ. როგორ გადავლახოთ შეზღუდვა?

საკმარისია დააკოპიროთ powershell.exe C:WindowsSystem32WindowsPowerShellv1.0 საქაღალდიდან მომხმარებლის საქაღალდეში, შეცვალოთ სახელი რაღაცით გარდა powershell.exe და გამოჩნდება გაშვების ვარიანტი.

ნაგულისხმევად, დისტანციურ სამუშაო მაგიდასთან დაკავშირებისას უზრუნველყოფილია კლიენტის ლოკალურ დისკებზე წვდომა, საიდანაც თავდამსხმელს შეუძლია დააკოპიროს powershell.exe და გაუშვას სახელი გადარქმევის შემდეგ.

→ დემო ვიდეო

ჩვენ შემოგთავაზეთ მხოლოდ რამდენიმე გზა შეზღუდვების გვერდის ავლით; შეგიძლიათ კიდევ ბევრი სცენარი გამოთვალოთ, მაგრამ მათ ყველას ერთი საერთო აქვს: Windows Explorer-ზე წვდომა. არსებობს მრავალი აპლიკაცია, რომელიც იყენებს Windows ფაილების მანიპულირების სტანდარტულ ინსტრუმენტებს და შეზღუდული გარემოში მოთავსებისას, მსგავსი ტექნიკის გამოყენება შესაძლებელია.

4. რეკომენდაციები და დასკვნა

როგორც ვხედავთ, შეზღუდულ გარემოშიც კი არის ადგილი თავდასხმის განვითარებისთვის. თუმცა, შეგიძლიათ თავდამსხმელს ცხოვრება გაურთულოთ. ჩვენ გთავაზობთ ზოგად რეკომენდაციებს, რომლებიც სასარგებლო იქნება როგორც ჩვენ მიერ განხილულ ვარიანტებში, ასევე სხვა შემთხვევებში.

• ლიმიტი პროგრამა იწყება შავ/თეთრ სიებში ჯგუფის პოლიტიკის გამოყენებით.
  თუმცა, უმეტეს შემთხვევაში, კოდის გაშვება შესაძლებელია. გირჩევთ გაეცნოთ პროექტს ლოლბასიგქონდეთ წარმოდგენა ფაილების მანიპულირებისა და სისტემაში კოდის აღსრულების არადოკუმენტური გზების შესახებ.
  ჩვენ გირჩევთ ორივე ტიპის შეზღუდვის გაერთიანებას: მაგალითად, შეგიძლიათ დაუშვათ Microsoft-ის მიერ ხელმოწერილი შესრულებადი ფაილების გაშვება, მაგრამ შეზღუდოთ cmd.exe-ის გაშვება.
• გამორთეთ Internet Explorer პარამეტრების ჩანართები (შეიძლება გაკეთდეს ადგილობრივად რეესტრში).
• გამორთეთ Windows ჩაშენებული დახმარება regedit-ის საშუალებით.
• გამორთეთ ადგილობრივი დისკების დამონტაჟების შესაძლებლობა დისტანციური კავშირებისთვის, თუ ასეთი შეზღუდვა არ არის კრიტიკული მომხმარებლებისთვის.
• შეზღუდეთ წვდომა დისტანციური აპარატის ლოკალურ დისკებზე, დატოვეთ წვდომა მხოლოდ მომხმარებლის საქაღალდეებზე.

ვიმედოვნებთ, რომ თქვენთვის მაინც საინტერესო აღმოჩნდა და მაქსიმუმ ეს სტატია დაგეხმარებათ თქვენი კომპანიის დისტანციური მუშაობის უსაფრთხოებაში.

წყარო: www.habr.com